Viernes, 13 de Enero de 2012 - 23:41

Ayer fue presentada en el Centro de Congresos de Elche la nueva marca turística local “VisitElche” que, entre otras acciones en Internet, implica la creación de una página web para difundir la ciudad entre potenciales visitantes que usen la Red para preparar sus vacaciones.

Así lo cuenta hoy el Diario Información:

La imagen de marca turística, junto con la la web (www.visitelche.com) sobre la que va a girar la estrategia turística de la ciudad, y que estará operativa con motivo de la apertura la próxima semana de la Feria Internacional de Turismo (Fitur) en Madrid, son la punta de lanza de un Plan Director de Turismo [...]

Si entramos ahora mismo a la página, veremos únicamente una cuenta atrás en la que se nos indica el tiempo que falta para que dé inicio FITUR:

Yo tenía la web controlada ya hace unos días, pero hasta ayer no se me ocurrió intentar ver si, aparte del cronómetro, había algo más. Y, con un poco de pillería, vi que efectivamente el cronómetro no era lo único que había en el dominio. Aunque me encontré las secciones vacías de contenido, aquí tenéis en primicia (supongo xD) los que serán los menús y la interfaz de visitelche.com:

Menús de visitelche.com

Me hizo gracia semejante “pillada” y se la pasé a Sergio, el cual, en cerocoma, me respondió con un enlace a un fallo de seguridad de la web. Esto es, había petado visitelche.com antes incluso de que funcionara oficialmente. Cómo la liamos…

La vulnerabilidad es del tipo XSS y permite “insertar” lo que queramos en la página. Por ejemplo, a modo de demostración, aquí podéis ver una muestra de aprecio hacia la actual alcaldesa (y en un hilarante combo, precisamente también encargada de Turismo local) en forma de carta en la flamante web municipal:

Actualización 14 de enero: me comentan que el bug ya ha sido solventado. Lo peor es que no han arreglado el XSS (o al menos, no se puede comprobar si lo han hecho) ya que ahora cualquier URL del dominio visitelche.com muestra la cuenta atrás de la captura del principio :facepalm:

Etiquetas: #comolaliamos, #manifiestoXSS, elche, Mercedes Alonso, política, PPCV, seguridad, Turismo, VisitElche, VisitElche.com, XSS
Categoria Archivado bajo Cajón DeSastre, Computeadores

10 comentarios en “Destapada (y de regalo, reventada) la nueva web turística de Elche antes de su inauguración”

F. Gomez dijo:

15 de Enero de 2012 a las 10:23

Turismo denunciará en la Guardia Civil el ataque sufrido a su nueva web
GatoVolador dijo:

15 de Enero de 2012 a las 12:04

Entiendo.
LaDoña dijo:

15 de Enero de 2012 a las 13:38

Les has hecho una publi qe les vas a venir de perlas, eso si, yo tamb stoy a favor del qe se jodan
Alcaldesa dijo:

16 de Enero de 2012 a las 15:19

IJO DE PUTA TE VI A MATAR KABRON CHUPAPOYAS DE MIERDA VOI AL TEATRO I TE MATO
LaTOO dijo:

17 de Enero de 2012 a las 12:04

me gusta tu estilo pibe
Invitado dijo:

18 de Enero de 2012 a las 00:10

Parace que te puede caer un puro por listo. La próxima lo piensas mejor.
w_h_d dijo:

18 de Enero de 2012 a las 02:28

Eso no es un delito. Es culpa del webmaster, que no tiene ni puta idea.
Juan AR dijo:

20 de Enero de 2012 a las 16:49

Tiene huevos que el webmaster tenga un fallo y te quieran meter el puro a ti. Y denunciarte por un XSS no persistente es tener poca idea de en qué consiste. Ánimos, espero que se imponga la cordura.
G dijo:

28 de Enero de 2012 a las 22:56

Ya te han metido en Alcatraz?
$DoC dijo:

31 de Enero de 2012 a las 00:36

Buena liada jeje, que cerca te tengo. Yo estoy en Castalla.

Bonito blog!

Un saludo, $DoC